Многолетние фундаментальные упущения в области кибербезопасности оставили государственную службу управления персоналом США открытой для хакерских атак, в результате которых произошли утечки персональных данных почти всех госслужащих, включая детализированные досье сотрудников, имеющих доступ к секретной информации, сообщает AP.
Заявление об этом было сделано в Конгрессе, где демократы и республиканцы из службы по надзору и правительственного комитета по реформам собрались, чтобы обсудить случаи утечки информации из службы управления персоналом, произошедшие в результате двух кибератак, раскрытых недавно.
«Вы полностью облажались», — заявил спикер комитета Джейсон Чаффетц (Jason Chaffetz), республиканец из Юты.
Критика поступила и изнутри управления. Майкл Эссер (Michael Esser), помощник главного инспектора по аудиту, рассказал комитету о неспособности службы управления персоналом в течение долгих лет привести свою систему кибербезопасности в соответствие с принятыми стандартами. Уже давно люди, отвечающие в службе за IT, не проверялись на компетентность. Их недобросовестность и сделала данные уязвимыми для кибератак, заключил он.
В ноябре аудиторы рекомендовали ведомству прикрыть часть сетей из-за их небезопасности, сказал Эссер. Однако глава управления Катерина Аркулета (Katherine Archuleta) отказалась это сделать, решив, что это помешает работе.
Позже она признала, что в тот момент хакеры уже проникли в ее сети.
В ответ на обвинения в халатности, Аркулета возложила вину на своих предшественников и отказалась извиниться и уйти в отставку.
Чаффетц сказал, что эти два взлома «возможно, являются самыми разрушительными кибератаками в нашей истории» и сравнил политику кибербезопасности службы управления персоналом с идеей оставлять двери и окна распахнутыми в надежде, что воры не проникнут в дом.
«Я не меньше вашего расстроена таким долгим пренебрежением к системам защиты, — ответила Аркулета. — Но ответственность за это лежит на всем правительстве, и решать эту проблему нам придется сообща».
Демократ Элайджа Каммингс (Elijah Cummings) из Мэриленда потребовал, чтобы показания дали два подрядчика – компании KeyPoint и USIS, которые стали жертвами хакерских атак в прошлом году. Ранее Каммингс и другие конгрессмены задавали вопрос — не была ли сеть OPM скомпрометирована через сети подрядчиков, но представители ведомства отказались отвечать.
Во время открытых слушаний IT-глава службы управления персоналом Донна Сеймур (Donna Seymour) подтвердила, что хакеры не только получили доступ к информации о 4,2 миллиона госслужащих (как ныне работающих, так и ушедших в отставку), но и похитили ее.
Число сотрудников, имевших доступ к секретной информации, чьи данные были украдены, неизвестно, сказала Сеймур. Но в базе хранились записи с 1985 года — они включали как госслужащих, так и наемных работников. По приблизительным подсчетам, могли быть скомпрометированы данные около 14 миллионов человек. И поскольку в их анкетах содержалась информация о друзьях и семьях, персональным данным этих людей также угрожает раскрытие.
Сеймур добавила, что любой госслужащий, отправлявший записи о своей работе в службу управления персоналом, скорее всего, также уязвим — даже если его данные в ведомстве не хранились. Это значит, что сотрудники секретных служб, не зафиксированные в официальных базах данных OPM, могут быть раскрыты.
То же касается спецагентов, работавших на государственной службе под легендой.
Энди Озмент (Andy Ozment) из департамента нацбезопасности сообщил, что хакеры получили доступ к сети OPM с помощью краденых учетных данных. Многие юристы и сторонние эксперты критиковали ведомство за отсутствие шифрования чувствительных данных, включая номера соцстрахования. Однако Озмент пояснил, что это не помогло бы – через «легальный» аккаунт взломщики получают доступ и к зашифрованным данным.
Уилл Хард (Will Hurd), республиканец из Техаса и бывший сотрудник ЦРУ, сказал, что ему ясно, что в катастрофе повинно несовершенство системы кибербезопасности, по этой же причине нельзя было узнать об атаках в течение нескольких месяцев.
Китай отрицает причастность к этим кибератакам, также нет никаких доказательств проникновения китайских хакеров в систему, однако правительство США заявило, что «почти уверено», что Китай замешан в инциденте.
Высказываются опасения, что, получив похищенные данные, Пекин начнет шпионить за родственниками и друзьями скомпрометированных агентов (особенно, если те проживают в Китае).
Как сообщал Экспертный центр электронного государства, украденные хакерами данные о госслужащих в США, по мнению экспертов, могут использоваться злоумышленниками для доступа к сайтам, содержащим информацию о системах вооружений и других важных исследованиях.
